Introducción
Cisco Nexus Data Broker (NDB) ofrece una solución sencilla, escalable y rentable para supervisar el tráfico de gran volumen y vital para la empresa. La visibilidad de este tráfico es fundamental para mantener la seguridad, admitir la resolución de problemas, ayudar a garantizar el cumplimiento y llevar a cabo la planificación de recursos. Este enfoque de broker de paquetes definido por software está disponible para los switches de Data Center Cisco Nexus serie 3000 y 9000.
Características de NDB
Supervisión del tráfico de red
La visibilidad del tráfico de aplicaciones es importante para que las operaciones de infraestructura mantengan la seguridad, resuelvan los problemas y realicen la planificación de recursos.
Agregación escalable de TAP y SPAN
Sustituye a los switches de matriz tradicionales diseñados específicamente por uno o más switches Nexus de Cisco serie 3000 o 9000 que se pueden interconectar para crear un puerto de acceso a pruebas de red (TAP) escalable y una infraestructura de agregación de Analizador de puertos conmutados (SPAN) de Cisco que admite 1, 10, 40 y 100 Gbps. También puede dedicar puertos para TAP y SPAN y para la conectividad Ethernet tradicional.
Integración de Cisco Application Centric Infrastructure
Cisco Nexus Data Broker se integra con Cisco ACI para configurar las sesiones SPAN o la función Copy para supervisar el tráfico dentro del fabric de Cisco ACI. Esta integración elimina la necesidad de que el usuario configure por separado las sesiones SPAN o la función Copy en el APIC.
Configuración SPAN automatizada en red de producción
NDB ahora puede agregar switches de producción en Cisco Nexus Data Broker y automatizar la configuración de sesión y el destino de SPAN. Esta capacidad permite a los administradores utilizar una única interfaz para atraer tráfico con fines de supervisión.
Supervisión del tráfico escalable con la opción en línea de Data Broker de Cisco Nexus
La opción Cisco Nexus Data Broker Inline permite insertar uno o más switches de la plataforma Cisco Nexus serie 3000 o 9300 en la infraestructura de producción a la que se conectan las herramientas de seguridad (o los nodos de servicio). Con el software de broker de datos, configure políticas de redirección que puedan coincidir con el tráfico específico y redirigirlo a través de varias herramientas de seguridad antes de que el tráfico entre o salga del Data Center.
Se puede implementar en los siguientes modos
- Modo centralizado para la agregación de tap/SPAN de tamaño mediano a grande donde se instala NDB en Linux VM.
- Modo de switch único integrado para agregación de tap/SPAN a pequeña escala donde NDB está instalado en el contenedor Linux del switch Nexus en sí.
Modos de Funcionamiento
- modo OpenFlow
- Modo NX-API
Openflow
OpenFlow es una interfaz estandarizada abierta que permite a un controlador de red definida por software (SDN) gestionar el plano de reenvío de una red.
Cisco OpenFlow Agent proporciona un mejor control de las redes, lo que las hace más abiertas, programables y capaces de reconocer las aplicaciones, y es compatible con las siguientes especificaciones definidas por la organización de estándares Open Networking Foundation (ONF):
- Especificación del switch OpenFlow versión 1.0.1 (protocolo de cable 0x01) (denominado OpenFlow 1.0)
- Especificación del switch OpenFlow versión 1.3.0 (protocolo de cable 0x04) (denominado OpenFlow 1.3)
Estas especificaciones se basan en el concepto de un switch Ethernet, con una tabla de flujo interno y una interfaz estandarizada para permitir que los flujos de tráfico en un dispositivo sean agregados o eliminados. OpenFlow 1.3 define el canal de comunicación entre el Cisco OpenFlow Agent y los controladores.
Un controlador puede ser Cisco Open SDN Controller o cualquier controlador compatible con OpenFlow 1.3.
En una red OpenFlow, Cisco OpenFlow Agent existe en el dispositivo y los controladores existen en un servidor externo al dispositivo. La gestión de flujos y cualquier administración de redes son parte de un controlador o se realizan a través de un controlador. La gestión de flujos incluye la adición, modificación o eliminación de flujos, y la gestión de mensajes de error de OpenFlow.
Componentes de Openflow
Cisco OpenFlow Agent crea conexiones TCP/IP basadas en OpenFlow a los controladores para un switch lógico Cisco OpenFlow Agent. Cisco OpenFlow Agent crea bases de datos para un switch lógico configurado, interfaces habilitadas para OpenFlow y flujos. La base de datos lógica del switch contiene toda la información necesaria para conectarse a un controlador. La base de datos de interfaz contiene la lista de interfaces habilitadas para OpenFlow asociadas a un switch lógico, y la base de datos de flujo contiene la lista de flujos en un switch lógico así como para la interfaz que se programa en el tráfico reenviado.
El controlador OpenFlow (denominado controlador) controla el switch e inserta flujos con un subconjunto de criterios de coincidencia y acción de OpenFlow 1.3 y 1.0 a través del switch lógico Cisco OpenFlow Agent. Cisco OpenFlow Agent rechaza todos los mensajes de OpenFlow con cualquier otra acción.
Limitación al utilizar NDB con Openflow
Cuando se habilita Openflow en un puerto determinado, 'spanning-tree bpdufilter enable' se configura automáticamente en la interfaz, lo que resulta en una caída STP BPDU en el software.
Además, 'no lldp transmit' también está configurado en la interfaz. Por lo tanto, la vecindad LLDP para estas interfaces no se forma en el switch. Sin embargo, los paquetes LLDP se capturan a través de la entrada ACL.
Actualmente, NDB no captura el tráfico de los protocolos de plano de control de nivel de link inferiores:
- STP
- LACP
-CDP
Defectos conocidos
CSCvr09006 NDB con 3500 no puede capturar paquetes STP/CDP
CSCvr01876 Redireccionar STP, paquetes CDP similares al puerto LLDP para Openflow